Prime Advice for Excellent Performance.

E-News

20 oktober 2017

De Algemene Verordening Gegevensbescherming #GDPR

Staat 25 mei 2018 reeds in uw agenda aangeduid? Perfect, want op die datum zal de Algemene Verordening Gegevensbescherming (AVG), beter gekend als de GDPR (General Data Protection Regulation) van toepassing worden in alle Europese lidstaten. Bijna elke onderneming zal in kaart moeten brengen welke persoonsgegevens worden verwerkt, waar deze worden bewaard en hoe deze beschermd worden. Als u denkt dat u niet onder het toepassingsgebied van de Verordening zal vallen, dan hebt u het waarschijnlijk mis. De AVG is van toepassing op alle bedrijven die persoonsgegevens van EU-burgers verwerken. Bijna elk bedrijf beschikt wel over een database waarin gegevens van klanten of personeel worden bewaard en verwerkt dus persoonsgegevens. Het is goed mogelijk dat u hier eerder nooit bij stilstond, niettegenstaande de huidige Privacywet reeds een aantal verplichten oplegde aan de verwerkers van persoonsgegevens. De komst van de AVG brengt echter grotere verplichtingen met zich mee en nog grotere sancties. 
 
In principe worden de basisbeginselen van de Privacywet behouden, maar er zijn toch een aantal belangrijke nieuwigheden waar u als onderneming dient bij stil te staan: 
 

Verruiming van het toepassingsgebied
De AVG geldt binnen de hele Europese Unie. Bovendien kunnen zelfs niet-Europese bedrijven onder het toepassingsgebied vallen indien zij producten of diensten aanbieden aan Europese onderdanen.

Indien een onderneming actief is in verschillende Europese lidstaten dan dient zij enkel te communiceren met de toezichthoudende autoriteit (in België de Privacycommissie) van de lidstaat waar zij haar hoofdvestiging heeft. 
 
Grondslag voor verwerking
Een onderneming dient na te gaan of er voor elk verwerkingsproces een verwerkingsgrond bestaat, zoals een wettelijke grondslag, een overeenkomst waardoor de verwerking werd toegestaan of de toestemming van de betrokkene, die vrij, specifiek, op informatie berustend en ondubbelzinnig moet zijn. 
 
Rechten van de betrokkenen 
In vergelijking met de Privacywet versterkt de AVG de bestaande rechten van de betrokkenen, die worden aangevuld met een aantal nieuwe rechten: het recht om informatie te ontvangen over de gegevenswerking waarvan de betrokkene het voorwerp uitmaakt, het recht op toegang tot de gegevens die worden verwerkt, het recht om onjuiste gegevens te laten verbeteren, het recht op een kopie van de persoonsgegevens die worden verwerkt, het recht op dataportabiliteit en het recht om vergeten te worden. U dient binnen de maand aan een verzoek van de betrokkene te kunnen voldoen. 
 
Register van verwerkingsactiviteiten
Bijna elke onderneming zal een geschreven of elektronisch register moeten bijhouden waarin alle verwerkingsactiviteiten in kaart worden gebracht. De Privacycommissie zal dit register te allen tijde kunnen opvragen. Het register vervangt de  huidige aangifteplicht bij de Privacycommissie van geautomatiseerde gegevensverwerkingen. 
 
Nazicht bestaande overeenkomsten
Het is vrij logisch dat alle bestaande overeenkomsten (algemene voorwaarden, privacypolicies, arbeidsovereenkomsten,…) aangepast moeten worden aan de nieuwe regelgeving. In het licht van de uitgebreide documentatieplicht zal een onderneming ook haar overeenkomsten met leveranciers, onderaannemers, … dienen na te gaan, gezien men moet kunnen garanderen dat ook contractspartijen de regelgeving naleven. 
 
Beveiliging van de verwerkingen en gegevenslekken
De AVG besteedt veel aandacht aan de beveiliging van de verwerking. De verantwoordelijke voor de verwerking moet de gepaste technische en organisatorische maatregelen nemen zodat hij kan instaan voor een beveiligingsniveau dat op de risico’s is afgestemd. Het inbouwen van ‘by design’ en ‘by default’ instellingen (pseudonimisering, minimale verwerking, encryptie, …) biedt reeds een bepaalde garantie voor de betrokkenen. 
 
Bij risicovolle projecten (bijvoorbeeld profiling) zal er bovendien een “gegevensbeschermingseffectbeoordeling” (DPIA) moeten worden uitgevoerd.  
 
Conform de AVG is een onderneming verplicht belangrijke inbreuken in verband met persoonsgegevens (datalekken) binnen de 72 uur na kennisname te melden aan de Privacycommissie. 
 
Data Protection Officer 
Er zal een Data Protection Officer (“DPO”) moeten worden aangesteld wanneer (i) de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, (ii) men op grote schaal gevoelige gegevens verwerkt en (iii) in geval van grootschalige, regelmatige en systematische observatie van betrokkenen. De grootte van de onderneming speelt hierbij geen rol. 
 
Maar zelfs indien het niet wettelijk verplicht is, kan het toch bijzonder nuttig zijn om een DPO aan te stellen. Een DPO helpt niet alleen de bovenstaande verplichtingen te implementeren, maar het is eveneens een duidelijk signaal naar klanten toe dat u hun privacy hoog in het vaandel draagt. 
 
Strenge sancties 
De Privacycommissie krijgt de bevoegdheid om administratieve sancties op te leggen bij inbreuken op de AVG. Betrokkenen kunnen 25 mei 2018 ook eenvoudiger klacht neerleggen.
 
De geldboetes zijn zeer hoog en kunnen oplopen tot 20 miljoen euro, of 4% van de totale wereldwijde omzet in het voorgaande boekjaar indien dat cijfer hoger is. Maar het kan een onderneming ook gewoonweg verboden worden nog verder gegevens te verwerken, wat in de praktijk het stilleggen van de onderneming betekent.
 
U kan dan ook niet langer stilzitten en zal de tijd die nog rest nodig hebben om uw beleid in overeenstemming te brengen met de nieuwe regelgeving. 
 
Hoe kan BELEXA Advocaten u hierbij van dienst zijn? 
Onze gecertificeerde Data Protection Officer kan u bijstaan om uw onderneming AVG conform te maken. Dit betekent dat wij samen met u een gegevensbeschermingsbeleid op maat uitwerken. Dit omvat o.a. de opmaak van een intern register, de opmaak van een draaiboek voor de uitvoering van de rechten van de betrokkene en voor het melden van datalekken. Verder kunnen wij de nodige bewustwording creëren binnen uw onderneming omtrent de basisbeginselen van de AVG door het geven van seminaries en maken wij alle bestaande overeenkomsten AVG conform, dit alles binnen een vooraf bepaalde vaste prijs.    
 
Jil Vandenbroucke
Gecertificeerd Data Protection Officer
Recent nieuws